KR100859215B1 - 지문법 및 실시간 증거 수집을 사용하여 콘텐츠를 보호하기위한 장치, 시스템 및 방법 - Google Patents

지문법 및 실시간 증거 수집을 사용하여 콘텐츠를 보호하기위한 장치, 시스템 및 방법 Download PDF

Info

Publication number
KR100859215B1
KR100859215B1 KR1020077001321A KR20077001321A KR100859215B1 KR 100859215 B1 KR100859215 B1 KR 100859215B1 KR 1020077001321 A KR1020077001321 A KR 1020077001321A KR 20077001321 A KR20077001321 A KR 20077001321A KR 100859215 B1 KR100859215 B1 KR 100859215B1
Authority
KR
South Korea
Prior art keywords
processes
parameters
computing device
determining
data
Prior art date
Application number
KR1020077001321A
Other languages
English (en)
Other versions
KR20070033433A (ko
Inventor
글렌 에이. 모텐
오스카 브이. 주크
Original Assignee
와이드바인 테크놀로지스, 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 와이드바인 테크놀로지스, 인코포레이티드 filed Critical 와이드바인 테크놀로지스, 인코포레이티드
Publication of KR20070033433A publication Critical patent/KR20070033433A/ko
Application granted granted Critical
Publication of KR100859215B1 publication Critical patent/KR100859215B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/16Program or content traceability, e.g. by watermarking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Social Psychology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

허가되지 않은 접근으로부터 디지털 정보를 보호하기 위한 장치, 시스템 및 방법이 설명된다. 본 발명은 허가되지 않은 접근에 대한 모니터링을 위해 디지털 지문법, 패턴 인식 및 실시간 개봉 흔적 수집을 이용하도록 구성된다. 허가되지 않은 접근이 탐지될 때, 비즈니스 규칙들에 기반을 둘 수 있는 적당한 응답이 제공되며, 그것은 콘텐츠 재생기 실행의 종료를 포함할 수 있다. 본 발명은, 상태의 변화를 탐지하기 위해서, 클라이언트 장치 상에서 적어도 하나의 프로세스와 관련된 파라미터들의 소정의 세트를 시간에 걸쳐 모니터링 한다. 상기 상태의 변화는 상기 프로세스에 대한 지문을 생성하기 위해서 사용된다. 그 다음으로, 추가적인 데이터가 허가되지 않은 행동을 지시하는지를 결정하기 위해서 수집된 추가적인 데이터에 통계적인 분석이 적용된다.
디지털 지문법, 패턴 인식, 콘텐츠 보호, 통계적 분석

Description

지문법 및 실시간 증거 수집을 사용하여 콘텐츠를 보호하기 위한 장치, 시스템 및 방법{APPARATUS, SYSTEM, AND METHOD FOR PROTECTING CONTENT USING FINGERPRINTING AND REAL-TIME EVIDENCE GATHERING}
본 발명은 일반적으로 원격 컴퓨팅 보안에 관한 것이며, 특히 디지털 지문법, 패턴 인식, 및 개봉 흔적(tamper evidence) 수집의 사용을 포함하여 허가되지 않은 접근으로부터 디지털 정보를 보호하기 위한 장치, 시스템, 및 방법을 제공하는 것과 관련되지만, 단지 이것에만 한정되지 않는다.
디지털 기술과 인터넷의 등장에 의해서 개혁되어온 모든 산업 중에서, 음악, 비디오, 페이 퍼 뷰(Pay Per View, PPV), 주문형 비디오(Video on Demand, VoD), 쌍방향 미디어 등의 제작자들과 제공자들과 같은 "콘텐츠(content)" 산업만큼 크게 영향을 받은 것은 없다. 인터넷은 예전보다 더 쉽게 그런 콘텐츠가 넓게 배포되도록 하였다. 불행히도, 디지털 시대는 또한 콘텐츠의 제작자들과 제공자에게는 심각한 하락을 가져왔다. 그것은 어떤 소비자들이 콘텐츠에 대해서 비용을 지불하지 않고 콘텐츠에 더 쉽게 접근하도록 만들었다.
콘텐츠를 보호하려는 여러 가지 시도들이 있어왔다. 예를 들면, 콘텐츠는 인터넷과 같이 네트워크 상에서 전달되는 동안에 암호화될 수 있다. 또한 콘텐츠는 CD, DVD 등과 같은 미디어 장치 상에 존재하는 동안에 암호화될 수도 있다. 그러나 일단 콘텐츠가 해독되고 소비자에게 이용가능하게 되면, 즉 클라이언트 컴퓨팅 장치에서의 재생 동안에, 그것은 허가되지 않은 접근에 노출된다. 이렇게 노출된 콘텐츠는 여러 가지 기술들을 사용하여 부당하게 접근되거나 또는 해킹 될 수 있다.
예들 들어, 상기 콘텐츠는 클라이언트 컴퓨팅 장치 "안(within)"으로부터 해킹될 수 있다. 즉, 클라이언트 컴퓨팅 장치의 사용자는 스크린 스크레이퍼 툴(screen scraper tool)를 사용하여 스크린 디스플레이를 해킹하는 것, 비디오 및/또는 오디오 장치를 해킹하는 것, 콘텐츠 스트림을 해킹하는 것 등을 포함하여, 다양한 매커니즘(machanism)들 가운데 어느 하나를 사용하여 콘텐츠에 부당하게 접근하려고 시도할 수 있다. 사용자는 심지어 허가되지 않은 사용을 위해서 콘텐츠에 부당하게 접근하기 위해서 콘텐츠 스트림 스크레이퍼를 사용하려고 시도할 수 있다.
상기 콘텐츠는 유사하게 클라이언트 컴퓨팅 장치 "밖(outside)"으로부터 클라이언트 컴퓨팅 장치를 해킹함으로써 부당하게 접근될 수 있다. 즉, 다양한 해킹 툴과 방법을 이용함으로써, 외부 해커는 클라이언트 컴퓨팅 장치에 침투하도록 시도할 수 있으며, 콘텐츠 보호 정보를 보호되지 않는 위치로 이동시킬 수 있고, 그리고 그 다음으로 부당하게 콘텐츠를 복사하기 위해서 보호 정보를 이용할 수 있다. 그래서 이러한 관점 및 다른 관점에서 본 발명이 만들어지게 되었다.
본 발명은 첨부한 도면을 참조하여 이하에서 더 완전하게 설명될 것이며, 도면은 본 발명의 일 부분을 형성하고, 본 발명이 실행될 수 있는 예시적인 특정 실시예들을 도시적으로 보여준다. 그러나 본 발명은 다른 많은 형태로 구현될 수 있으며, 그리고 본원에서 설명된 실시예들에 제한되는 것으로 해석되어서는 않된다. 오히려, 이러한 실시예들은 본원의 개시가 철저하고 완벽하게 되기 위해서 제공되며, 그리고 당해 기술 분야에서 숙련된 자에게 본 발명의 범위를 완전히 전달할 것이다. 다른 것들 중에서, 본 발명은 방법 및 장치로 구현될 수 있다. 따라서, 본 발명은 전적으로 하드웨어 실시예, 전적으로 소프트웨어 실시예, 또는 소프트웨어 및 하드웨어 양상들을 조합한 실시예의 형태를 가질 수 있다. 그러므로 다음의 상세한 설명은 한정하는 의미로 해석되어서는 안 된다.
간단히 설명하면, 본 발명은 허가되지 않은 접근으로부터 디지털 정보를 보호하기 위한 장치, 시스템 및 방법에 관한 것이다. 본 발명은 허가되지 않은 접근에 대한 모니터링을 위해 디지털 지문법, 패턴 인식 및 실시간 개봉 흔적 수집을 이용하도록 구성되며, 그리고 적절한 응답을 제공한다. 디지털 지문법은 선택된 컴퓨터 프로세스들의 행동에, 적어도 부분적으로, 기반을 둘 수 있다. 본 발명은 외부 및/또는 내부 허가되지 않은 접근 그리고 클라이언트측 장치에서의 유사한 허가되지 않은 동작으로부터 디지털 미디어를 보호하기 위한 것이다. 일 실시예에서, 상기 클라이언트측 장치는 디지털 컴퓨터, 세트-탑 박스(Set-Top Box, STB) 등을 포함한다.
본 발명은 벡터 분석, 클러스터(cluster) 분석, 통계 분석, 퍼지 논리(fuzzy logic), 신경 논리 이론, 의사 결정(decision-making), 최적화 이론 등을 포함하여 몇몇 메커니즘을 사용한다. 본 발명은 허가되지 않은 동작을 탐지하는 패턴 인식 시스템을 제공하기 위해 이러한 매커니즘들 중 적어도 일부를 결합할 수 있다. 본 발명은 광범위한 다른 데이터를 생성하고 처리하도록 구성되며, 이러한 데이터는 정상으로 결정될 수 있는 데이터, 비정상(때때로, 또한 "불량", 또는 허가되지 않은 행동으로 불림)으로 결정될 수 있는 데이터, 반-반복성(semi-repetitious), 불명확 데이터, 그리고 퍼지 데이터를 포함하지만(이 데이터로부터 행동의 패턴이 생성될 수 있음), 이것에 한정되는 것은 아니다. 상기 생성된 패턴은 정상(양호) 데이터 패턴, 잠재적으로 허가되지 않을 수 있는 비정상(불량) 데이터 패턴 등으로 분류될 수 있다. 해커가 해킹을 시도하는 동안에, 일반적인 해커가 시스템, 프로세스 등에 대해 이러한 정상 패턴들을 유지하는 것은 종종 비현실적이기 때문에, 이러한 패턴들이 사용된다.
추가적으로, 본 발명을 이용함으로써, 해커는 상대적으로 더 빨리 탐지될 수 있으며, 심지어 시스템, 프로세스, 응용 등이 훼손될 수 있는 경우조차도 콘텐츠가 안전하게 될 수 있는 가능성 더 높인다. 해커들이 시스템을 일반적으로 훼손하고 그리고 시스템의 소프트웨어를 변경하는 동안, 상기 시스템의 프로세스 행동은 동일하지 않다. 따라서, 프로세스 행동의 모니터링은 해커에 대항해서 상당히 효과적일 수 있다. 더욱이, 시스템의 프로세스 행동이 변함에 따라, 해커가 해킹의 탐지 전에 해킹을 완성할 수 있는 가능성은 크게 감소한다.
본 발명은, 침입 탐지 시스템, 개봉 또는 허가되지 않은 데이터 수정을 탐지하도록 구성된 장치, 동적 및/또는 정적 패턴, 이미지 인식 시스템, 컴퓨팅 장치, STB, 및 유사한 장치들로부터 비정상적 행동을 탐지하도록 구성된 장치들을 포함하나 이에 제한되지 않는 다양한 구성에서 사용될 수 있다. 더욱이, 본 발명은, 적어도 일 실시예로, 클라이언트 컴퓨팅 장치 상에 존재하도록 구성될 수 있다. 그러한 구성에서, 허가되지 않은 행동에 대한 모니터링은 클라이언트 컴퓨팅 장치가 네트워크와 통신하지 않을 때에도 수행될 수 있다. 그러나 본 발명은 상기 컴퓨팅 장치 상에 단지 존재하는 것에 한정되지 않는다. 예를 들어, 본 발명은 본 발명의 범위와 사상으로부터 벗어나지 않고 다수의 컴퓨팅 장치 등을 통하여 또 다른 컴퓨팅 장치 상에 존재할 수 있다.
본 발명의 실시예들(본 발명이 이 실시예에만 오로지 한정되거나 제한되지는 않음)이 다음의 도면을 참조하여 설명된다. 도면에서, 동일한 참조 번호는, 달리 특정되지 않는다면, 여러 도면을 통해 동일한 부분을 나타내는 것이다.
본 발명의 더 나은 이해를 위해서, 참조할 수 있는 사항이 본 발명의 상세한 설명에서 언급될 것이며, 이것은 첨부되는 도면과 관련되어 이해될 수 있고, 여기서:
도 1은 본 발명을 실행하기 위한 환경의 일 실시예를 나타내는 기능적 블록도를 도시하며;
도 2는 본 발명을 구현한 시스템 내에 포함될 수 있는 클라이언트 장치의 일 실시예를 도시하며;
도 3은 지문을 결정하고, 그리고 실시간 증거 수집에 있어서 본 발명에 의해 서 분석될 수 있는 파라미터의 리스트의 일 실시예를 나타내며;
도 4는 컴퓨팅 장치 상에서의 허가되지 않은 행동을 탐지하기 위한 개관적인 프로세스의 일 실시예를 일반적으로 보여주는 논리적 순서도를 도시하며;
도 5는 상기 컴퓨팅 장치와 관련된 프로세스들의 미리 선택된 파라미터들을 수집하는 프로세스의 일 실시예를 일반적으로 보여주는 논리적 순서도를 도시하며;
도 6은 프로세스들의 적어도 서브세트(subset)에 대한 지문들을 결정하기 위해 델타 이벤트(delta event)들 분석을 사용하는 프로세서의 일 실시예를 일반적으로 보여주는 논리적 순서도를 도시하며;
도 7은 엔트로피(entropy) 분석을 사용하여, 결정된 지문들의 패턴 분류를 수행하는 프로세서의 일 실시예를 일반적으로 보여주는 논리적 순서도를 도시하며;
도 8은 스코어(score) 출력을 결정하도록 벡터들을 변환하는 프로세서의 일 실시예를 일반적으로 보여주는 도시적인 표현을 나타내며; 그리고
도 9는 본 발명에 따른, 몇몇 스코어 출력들을 결정하도록 행렬들을 변환하는 프로세서의 일 실시예를 일반적으로 보여주는 도식적인 표현을 나타낸다.
예시적 환경
도 1은 본 발명이 구현될 수 있는 동작 환경(100)의 일 실시예를 나타내는 기능적 블록도를 도시한다. 동작 환경(100)은 단지 적합한 동작 환경의 하나의 예시이며, 본 발명의 사용 또는 기능성의 범위에 대해 어떤 한정을 제시하려는 의도가 아니다. 따라서, 잘 알려진 다른 환경 및 구성이 본 발명의 범위 또는 사상으로 부터 벗어나지 않고 사용될 수 있다.
도면에 도시된 바와 같이, 동작 환경(100)은 콘텐츠 제공자(102), 네트워크(104) 및 클라이언트(106-108)를 포함한다. 네트워크(104)는 콘텐츠 제공자(102) 및 클라이언트(106-108)와 통신한다.
콘텐츠 제공자(102)는 클라이언트 장치(106-108)로 배포될 수 있는 미디어 콘텐츠의 생산자, 개발자, 및 소유자에 의한 사용을 위해 구성된 컴퓨팅 장치를 포함한다. 이런 콘텐츠들은 동영상, 영화, 비디오, 음악, PPV, Vod, 쌍방향 미디어, 오디오, 정지 화상, 텍스트, 그래픽, 및 클라이언트 장치(106-108)와 같이 클라이언트 장치의 사용자 지향의 다른 형태들의 디지털 콘텐츠들을 포함하나, 이러한 것에 한정되지 않는다. 또한 콘텐츠 제공자(102)는 콘텐츠를 복사하고 배포하기 위해 콘텐츠 소유자로부터 권리를 얻는 비즈니스, 시스템 등을 포함할 수 있다. 콘텐츠 제공자(102)는 하나 또는 그 이상의 콘텐츠 소유자로부터 복사 및 배포할 권리를 얻을 수 있다. 콘텐츠 제공자(102)는 후속 판매, 배포, 그리고 다른 콘텐츠 제공자, 클라이언트 장치(106-108)의 사용자 등에게로의 라이선스를 위해 콘텐츠를 재포장 및 저장 그리고 스케쥴링 할 수 있다.
콘텐츠를 클라이언트 장치(106-108)에 전달하기 위해 네트워크(104)를 이용하는 것으로 예시되었지만, 본 발명이 그렇게 한정되는 것은 아니다. 예를 들어, 콘텐츠 제공자(102)는 실질적으로 CD, DVD, 플로피 디스켓, 자기 테이프 등을 포함하는 어떤 저장 장치, 데이터 통신 라인을 포함하여(그러나 이것에 한정되지 않음), 실질적으로 콘텐츠를 전달하는 어떤 매커니즘을 이용할 수 있다. 콘텐츠는 다양 한 암호 기술들 중 어느 하나를 사용하여 암호화될 수 있다. 마찬가지로, 콘텐츠는 또한 해독될 수 있다.
콘텐츠 제공자(102)로서 동작할 수 있는 장치는 개인용 컴퓨터, 데스크톱 컴퓨터, 멀티프로세서 시스템, 마이크로프로세서 기반의 또는 프로그램가능한 소비자 전자 기기, 네트워크 PC, 서버 등을 포함한다.
네트워크(104)는 하나의 컴퓨팅 장치를 또 다른 컴퓨팅 장치에 연결하여 그들이 통신할 수 있도록 구성된다. 네트워크(104)는 하나의 전자 장치로부터의 정보를 또 다른 전자 장치로 전달하기 위해 컴퓨터에서 판독 가능한 매체들 중 어떤 형태를 사용할 수 있다. 또한 네트워크(104)는 인터넷과 같은 무선 인터페이스 및/또는 유선 인터페이스를 포함할 수 있으며, 추가로 범용 직렬 버스(Universal Serial Bus, USB) 포트, 다른 형태의 컴퓨터에서 판독가능한 미디어, 또는 그들의 어떤 조합을 통한 접속과 같은 직접 접속, 광역 통신망(Wide Area Network, WAN), 근거리 통신망(Local Area Network, LAN)을 포함할 수 있다. 다른 아키텍처 및 프로토콜에 기반한 것들을 포함하여 LAN의 상호 접속된 세트에서, 라우터는 LAN 사이의 링크(link)로서 동작하고 메시지가 서로에게 보내지도록 한다. 또한, LAN 내의 통신 링크들은 일반적으로 트위스티드 와이어 페어(twisted wire pair) 또는 동축 케이블을 포함하며, 반면에 네트워크 사이의 통신 링크들은 아날로그 전화 회선, T1,T2,T3, 및 T4를 포함하는 완전 또는 부분적 전용 디지털 회선, 종합 정보 통신망(Integrated Services Digital Network, ISDN) 디지털 가입자 회선(Digital Subscriber Line, DSL), 위성 링크를 포함하는 무선 링크 또는 본 발명의 기술 분 야에서 숙련된 자에게 알려진 다른 통신 링크를 이용할 수 있다. 더욱이 원격 컴퓨터 및 관련된 다른 전자 장치들은 모뎀 및 임시 전화 링크을 통하여 LAN 또는 WAN 중 어느 하나에 원격으로 연결될 수 있다. 본질적으로, 네트워크(104)는 어떤 통신 방법을 포함하는데, 이 방법에 의해 정보는 클라이언트 장치(106-108)와 콘텐츠 제공자(102) 사이에서 전해질 수 있다.
상기 설명한 바와 같이 통신 링크 내에서 정보를 전송하는데 사용되는 미디어는 컴퓨터에서 판독 가능한 미디어, 즉 통신 미디어 중 하나의 형태를 나타낸다. 일반적으로, 컴퓨터에서 판독가능한 미디어는 컴퓨팅 장치에 의해서 접근될 수 있는 어떤 미디어를 포함한다. 컴퓨터에서 판독가능한 미디어는 컴퓨터 저장 미디어, 통신 미디어 또는 그들의 어떤 조합을 포함할 수 있다.
추가로, 통신 미디어는 일반적으로 컴퓨터에서 판독가능한 명령, 데이터 구조, 프로그램 모듈(modules), 또는 반송파, 데이터 신호, 다른 운반 매커니즘과 같은 변조된 데이터 신호 내에서의 다른 데이터를 포함하고 그리고 어떤 정보 전달 미디어를 포함한다. 용어 "변조된 데이터 신호" 및 "반송파 신호"는 하나 또는 그 이상의 특징 세트를 가지는 신호 또는 상기 신호 내의 정보, 명령, 데이타 등을 암호화하는 방식으로 변경되는 신호를 포함한다. 예를 들어, 통신 미디어는 트위스티드 페어, 동축 케이블, 광섬유, 도파관 및 다른 유선 미디어와 같은 유선 미디어와 그리고 음파, RF, 적외선, 및 다른 무선 미디어와 같은 무선 미디어를 포함한다.
클라이언트 장치(106-108)는 콘텐츠 제공자(102)와 같은 또 다른 컴퓨팅 장치로부터, 네트워크(104)와 같이 네트워크 통해서 콘텐츠를 수신할 수 있는 어떠한 컴퓨팅 장치를 실질적으로 포함할 수 있다. 또한 클라이언트 장치(106-108)는 CD, DVD, 테이프, 전자 메모리 장치들 등을 포함하나, 이에 한정되지 않는 다른 메커니즘을 사용하여 콘텐츠를 수신할 수 있는 어떤 컴퓨팅 장치를 포함할 수 있다. 이러한 장치들의 세트는 개인용 컴퓨터, 멀티프로세서 시스템, 마이크로프로세서에 기반하거나 프로그램 가능한 소비자 전자기기, 네트워크 PC 등과 같이 유선 통신 매체를 사용하여 일반적으로 연결되는 장치들을 포함할 수 있다. 또한 그러한 장치들의 세트는 셀 폰, 스마트 폰, 무선 호출기, 워키토키, 무선주파수(Radio Frequency, RF) 장치, 적외선(InFrared, IR) 장치, CB, 앞선 장치 중 하나 또는 그 이상을 조합한 통합된 장치 등과 같은 무선 통신 매체를 사용하여 일반적으로 연결되는 장치들을 포함할 수 있다. 또한 클라이언트 장치(106-108)는 PDA, 포켓 PC, 착용 컴퓨터 및 콘텐츠를 수신하고 재생하기 위해 유선 및/또는 무선 통신 매체를 통해 통신하도록 구성된 다른 어떤 장치와 같은 유선 또는 무선 통신 매체를 사용하여 연결될 수 있는 어떤 장치일 수 있다. 마찬가지로, 클라이언트 장치(106-108)는 컴퓨터 디스플레이 시스템, 오디오 시스템, 주크 박스, 세트 탑 박스(STB), 텔레비전, 비디오 디스플레이 장치 등을 포함하나, 이에 한정되지 않는 이러한 콘텐츠를 즐기기 위해 다양한 장치들 중 어느 하나를 사용할 수 있다. 클라이언트 장치(106-108)는 도 2와 함께 더 자세하게 아래에서 설명되는 바와 같은 클라이언트 장치를 사용하여 구현될 수 있다.
클라이언트 장치(106-108)는 최종 사용자가 콘텐츠를 수신하고 그리고 수신된 콘텐츠를 재생할 수 있도록 구성된 클라이언트를 포함할 수 있다. 또한 상기 클 라이언트는 클라이언트 장치의 다른 컴포넌트가 실행될 수 있도록 하는 것을 포함하나 이에 한정되지 않는 다른 동작을 제공할 수 있으며, 또 다른 컴포넌트, 장치, 최종 사용자 등과 인터페이스 할 수 있게 할 수 있다.
클라이언트 장치(106-108)는 아래에서 더 자세하게 설명되는 바와 같이 콘텐츠 보호 관리(Content Protection Management, CPM) 컴포넌트를 더 수신할 수 있다. 상기 CPM 컴포넌트는 클라이언트 장치의 행동 특성을 모니터링 하도록 구성될 수 있고, 그리고 행동이 비정상적인(불량 또는 허가되지 않은) 행동으로 결정되는 경우, 상기 CPM 컴포넌트는 잠재적으로 허가되지 않은 행동으로부터 콘텐츠를 보호하는 동작을 할 수 있다. 이러한 동작은 네트워크 접속을 끊거나, 하나 또는 그 이상의 프로세스를 끊거나, 콘텐츠에 접근을 소멸시키거나 그렇지 않으며 금지하거나, 컴퓨팅 장치의 최종 사용자에게 메시지를 제공하거나, 콘텐츠의 소유자에게 메시지를 제공하는 등등을 포함하는 정책(policy), 규칙(rule) 등에 기초를 둔 소정의 다양한 행동들 중 어느 하나를 포함할 수 있다.
예시적인 컴퓨팅 장치
도 2는 본 발명의 일 실시예에 따라, 컴퓨팅 장치의 일 실시예를 도시한다. 컴퓨팅 장치(200)는 여기에 도시된 것보다 더 많은 컴포넌트를 포함할 수 있다. 그러나 도시된 상기 컴포넌트들은 본 발명을 실행하는 예시적인 실시예를 개시하기에 충분하다. 예를 들어, 컴퓨팅 장치(200)는 도 1의 클라이언트 장치(106-108)를 나타낼 수 있다.
컴퓨팅 장치(200)는 버스(222)를 통하여 서로 통신하는 프로세싱 유닛(212), 비디오 디스플레이 어댑터(214) 및 대용량 메모리(mass memory) 모두를 포함한다. 일반적으로 대용량 메모리는 RAM(216), ROM(232) 및 하드 디스크 드라이브(228), 테이프 드라이브, 광 드라이브, 및/또는 플로피 디스크 드라이브와 같은 하나 또는 그 이상의 영구 대용량 저장 장치를 포함할 수 있다. 대용량 메모리는 컴퓨팅 장치(200)의 동작을 제어하는 운용 체계(operating system)(220)을 저장한다. 어떤 일반적 목적의 운용 체계가 이용될 수 있다. 기본적인 입력/출력 시스템(Bsaic Input/Output System, "BIOS")(218)은 또한 컴퓨팅 장치(200)의 로우-레벨(low-level) 동작을 제어하기 위해서 제공될 수 있다. 도 2에 나타난 바와 같이, 컴퓨팅 장치(200)는 또한 네트워크 인터페이스 유닛(210)을 통하여 인터넷 또는 도 1의 네트워크(104)와 같은 다른 어떤 통신 네트워크와 통신할 수 있으며, 이것은 TPC/IP 프로토콜을 포함하여 여러 가지 통신 프로토콜을 사용하도록 구성된다. 때때로 네트워크 인터페이스 유닛(210)은 송수신기, 송수신 장치 또는 네트워크 인터페이스 카드(Network Interface Card, NIC)로 알려져 있다.
앞서 설명한 바와 같이 대용량 메모리는 또 다른 타입의 컴퓨터에서 판독가능한 미디어 즉, 컴퓨터 저장 미디어를 나타낸다. 컴퓨터 저장 미디어는 컴퓨터에서 판독가능한 명령, 데이터 구조, 프로그램 모듈 또는 다른 데이터와 같이 정보 저장을 위한 어떤 방법 또는 기술로 구현되는 휘발성, 비휘발성, 이동가능한 그리고 이동가능하지 않은 미디어를 포함할 수 있다. 컴퓨터 저장 미디어의 예는 RAM, ROM, EEPROM, 플래쉬 메모리 또는 다른 메모리 기술, CD-ROM, 디지털 다기능 디스크(Digital Versatile Disks, DVD), 또는 다른 광 저장, 자기 카세트, 자기 테이 프, 자기 디스크 저장 또는 다른 자기 저장 장치들 또는 요구된 정보를 저장하는데 사용될 수 있고 그리고 컴퓨팅 장치에 의해서 접근할 수 있는 다른 어떤 매체를 포함한다.
또한 상기 대용량 메모리는 프로그램 코드 및 데이터를 저장한다. 하나 또는 그 이상의 응용(250)이 대용량 메모리에 로딩(loading) 되고 운용 체계(220) 상에서 실행된다. 응용 프로그램의 예는 트랜스코더(transcoders), 스케줄러(schedulers), 캘린더(calendars), 데이터 베이스 프로그램, 워드 프로세싱 프로그램들, HTTP 프로그램들, 오디오 플레이어, 비디오 플레이어, VoD 플레이어, 디코더, 해독기(decryters), PPV 플레이어, STB로의 인터페이스 프로그램, 텔레비전으로의 인터페이스 프로그램, 비디오 카메라 등을 포함할 수 있으나, 이에 한정되지 않는다. 대용량 저장은 콘텐츠 보호 매니저(Content Protection Manager, CPM)(252)와 같은 응용을 더 포함할 수 있다. CPM(252)는 지문을 생성(지문 매니저(253)) 하고, 패턴의 분류(분류기(254))를 수행하도록 구성될 수 있는 추가적인 컴포넌트들을 포함할 수 있다. CPM(252)은 또한, 다른 것들 중에서, 비정상적인 행동을 지시할 수 있는 여러 가지 인자(factors)를 분석하도록 구성될 수 있는 결정 엔진(255)을 포함할 수도 있다. 비정상적인 행동이 탐지되는 경우, 결정 엔진(255)은 잠재적으로 허가되지 않은 동작들로부터 콘텐츠를 보호하기 위한 동작을 취할 수 있다. CPM(252) 및 그와 관련된 컴포넌트들은 도 4-6과 함께 아래에서 더 세부적으로 설명되는 동작을 수행할 수 있다.
일 실시예에서, CPM(252)는 콘텐츠와 함께 컴퓨팅 장치(200) 상에 로딩 된 다. 그럼으로써, CPM(252)은 CD, DVD 등과 같은 콘텐츠 미디어 상에서 존재할 수 있다. CPM(252)은 또한 상기 콘텐츠가 컴퓨팅 장치(200)로 다운로드 되는 동안에 네트워크를 거쳐 로딩 될 수도 있다. 그러나 본 발명이 그렇게 한정되지 않으며, 그리고 CPM(252)는, 실적적으로 어떠한 시간에, 심지어는 콘텐츠가 언제 로드되는 지에 독립적으로, 어떤 메커니즘을 실질적으로 이용하는 컴퓨팅 장치(200) 상에 로드될 수 있다. 더욱이, 비록 도 2가 컴퓨팅 장치(200) 내에 존재하는 CPM(252)을 나타내지만, 본 발명은 그렇게 구속되지 않으며, 그리고 CPM(252)는 본 발명의 사상의 범위를 벗어나지 않으면서, 다른 장치 상에 존재할 수 있으며, 다수의 장치 등을 통해 배포될 수 있다.
컴퓨팅 장치(200)는 또한 e-메일을 전송하고 수신하는 SMTP 핸들러 응용, HTTP 요구들을 수신하고 보내는 HTTP 핸들러 응용 및 안전한 접속을 다루는 HTTPS 핸들러 응용을 포함할 수도 있다. HTTPS 핸들러 응용은 안전한 방식으로 외부 응용과 통신을 시작할 수 있다.
컴퓨팅 장치(200)는 또한 도 2에서 도시되지 않은 마우스, 키보드, 스캐너 또는 다른 입력 장치와 같은 외부 장치들과 통신하기 위해서 입력/출력 인터페이스(224)를 포함한다. 마찬가지로, 컴퓨팅 장치(200)는 CD-ROM/DVD-ROM 드라이브(226) 및 하드 디스크 드라이브(228)와 같은 추가적인 대용량 저장 장치를 더 포함할 수 있다. 하드 디스크 드라이브(228)는, 다른 것들 중에서도, 응용 프로그램, 데이터 베이스, 클라이언트 장치 구성 정보, 정책 등을 저장하기 위해서 사용될 수 있다.
동작들의 예시적인 개관
본 발명은 허가되지 않은 행동들을 모니터링 하고 탐지할 수 있으며, 그리고 시스템, 콘텐츠 등에 그러한 행동의 영향을 최소화할 수 있다. 그럼으로써, 본 발명은 허가되지 않은 행동이 소스 외부로부터 있거나, 또는 컴퓨팅 시스템으로부터 떨어져 있거나, 심지어 컴퓨팅 시스템 내부에 있더라도(예를 들어, 상기 소스가 컴퓨팅 시스템의 최종 사용자, 프로세스, 프로그램 또는 컴퓨팅 시스템 상에서 실행되는 유사한 태스크(task) 등인 경우), 허가되지 않은 행동을 모니터링 하도록 되어 있다.
본 발명은 지문법, 패턴 인식, 통계적 분석 등을 포함하는 다양한 개념들 중 어느 하나를 사용하여 콘텐츠를 인터셉팅(intercepting), 캡처링(capturing), 복사 및/또는 수정을 지시하는 행동을 나타낼 수 있는, 컴퓨팅 시스템 상에서 허가되지 않은 행동을 탐지하도록 더 설계된다. 그 다음으로 콘텐츠의 보호는 허가되지 않은 프로세스 또는 태스크를 종료하거나, 허가되지 않은 프로세스 또는 태스크를 방해하거나, 또는 심지어 다양한 메커니즘을 통해 콘텐츠를 폐쇄함으로써 달성될 수 있으며, 그 결과 상기 콘텐츠는 더 이상 허가되지 않은 프로세스 또는 태스크에 이용될 수 없게 된다.
이러한 개념들을 이용할 때, 컴퓨팅 시스템 상에서 관측된 허가된 동작들은 "정상(normal)" 패턴의 동작 또는 행동으로 분류될 수 있다. 허가되지 않은 동작을 하는 동작은 "정상" 행동의 이 패턴을 바꿀 수 있다. 이렇게 변경된 행동 패턴은 정상 패턴과 일치하지 않을 것이다. 이 변경된 행동 패턴은 "비정상" 또는 "불량" 행동으로 불린다.
정상 행동의 결정은, 프로세스에 대한 특성 세트 또는 컴퓨팅 시스템 상에서 실행되는 프로세스의 서브세트와 관련된 데이터로부터 변화될 수 있는 행동들을 분류하는 것에 부분적으로 기초를 둘 수 있으며, 각 프로세스와 관련된 이름과는 독립적이다. 이러한 데이터는 예를 들어, 콘텐츠 재생기 등의 실행 동안에 컴퓨팅 시스템으로부터 얻어질 수 있다.
본 발명은 "비정상" 행동으로부터의 각 프로세스에 대한 고려되는 "정상" 행동들 사이의 논리적, 비수치적인 차이를 결정하도록 더 구성된다. 상기 결정은 비실시간에 대한 것 일 수 있을 뿐만 아니라 실시간에 대한 것 일 수 있다.
하나의 접근법에 기초하여, 모니터링은 컴퓨팅 시스템 상에 존재하는 프로세스들와 관련된 정보 및 특성을 수집하는 것이다. 그러나, 잠재적으로 가능한 수많은 다른 파라미터들이 있으며, 이것은 각 단일 프로세스를 특징 지운다. 이것은 결과적으로 시간 및 자원의 광범위한 분석이다. 예를 들어 Windows 2000 프로페셔널 운용 체계의 일 실시예 상에서 실현될 수 있는 바와 같이, 예를 들어 각 프로세스가 모니터링 될 수 있는 약 200 개의 잠재적 파라미터들을 포함하는 경우를 고려하자. 그러면, 분석은 200 × K 데이터 공간 상에서 수행되어야 하며, 여기서 K는 컴퓨팅 시스템 상에서의 실행 프로세스들의 수이다. 그러나 충분한 공간 및 자원이 주어진다면, 이 접근법은 본 발명의 범위를 벗어나지 않으면서, 본 발명에 의해 수행될 수 있다.
그러나, 수집된 데이터는 또한 분석을 위해 사용되는 파라미터들의 수를 최 소화하도록 배열될 수 있다. 따라서, 일 실시예에서, 본 발명은 시간의 주기 동안 프로세스를 특징 지울 수 있는 각 파라미터 사이의 차이를 측정하는 것에 부분적으로 기초를 두고 있는 델타 이벤트들 접근법을 사용한다. 얻어진 차이는 파라미터의 행동의 특별한 이벤트들로서 고려될 수 있으며, 본원에서는 지문으로 언급될 수 있다.
더욱이, 소정의 프로세스에 대한 어떤 파라미터들은 시간을 통해 그 값을 바꿀 수 있으며, 반면에 다른 것들은 그렇지 않을 수 있다. 이 관측은 프로세스들의 지문들의 개발에서 이용될 수 있다. 즉, 파라미터들은 소정의 시간 주기에서 실질적으로 변하거나 또는 변하지 않을 수 있다. 이것이 시간 주기 동안에 파라미터가 실질적으로 변화하거나 또는 유지하는지를 결정하기 위한 파라미터의 모니터링을 간단히 하기 위해서 사용될 수 있다. 그래서, 파라미터는 두 가지 상태 중의 하나를 가지는 것으로 나타날 수 있다. 즉, 변한 상태 또는 변하지 않는 상태. 그 다음으로 각 프로세스 파라미터는, 지문 또는 행동의 패턴으로 전환될 수 있는 자신의 행동들의 상태를 가지는 것으로 고려될 수 있다. 더욱이 각 프로세스는 여러 행동 패턴 또는 지문들 중 하나의 패턴으로 특징지어질 수 있다. 파라미터 동작의 두 가지 상태 표시를 사용함으로써, 본 발명은 디지털 파라미터적 접근법을 비수치적 논리 태스크로 변환시킬 수 있다.
그러나, 모든 파라미터들이 단지 하나의 상태를 가지는 것이 아니다. 예를 들어 파라미터는 시간을 통해 다수의 상태에 있을 수 있다. 그러나, 파라미터의 각각의 상태의 출현 가능성은 통계적 분석에 의해 얻어질 수 있다. 만약 이러한 통계 적 분석이, 하나의 상태의 출현이 또 다른 상태의 출현에 의해 실질적으로 초과된다고 지시된다면, 각 상태에 대한 수학적 기대값(예를 들면, 산술 평균)의 결정이 이루어질 수 있다. 그 다음으로, 파라미터에 대한 얻어진 비정상적인 것의 카운트는 노이즈 또는 불확실한 것으로 결정될 수 있다.
모니터링 하려는 어느 프로세스의 선택은 여러 고려 사항들 중 어느 하나에 기반을 둘 수 있다. 예를 들어, 콘텐츠의 재생과 관련된 프로세스, 해킹과 관련된 프로세스 등을 모니터링하기 위해서 선택할 수 있다. 일 실시예에서, 프로세서 커널(kernel)과 관련된 파라미터들이 선택된다. 또 다른 실시예에서, 분석은 프로세서 커널과 관련된 프로세스에 관해 수행되고, 그리고 또한 프로세스를 실행하는 사용자 시간에 관해 수행된다. 다른 프로세스보다도 실질적으로 더 큰 시간을 가지는 것으로 결정된 이러한 프로세스들은 연속된 분석을 위해서 선택될 수 있다.
예를 들면, 일 실시예에 기반을 두어, 수학적 분석은, Windows의 소정의 버전과 같이 소정의 운용 체계 체계에 대하여, 각각의 단일 프로세스를 특징 지우는 200개의 파라미터들 중에서 통계적으로 37개 파라미터들이 행동 패턴에 중요한 영향을 미칠 수 있음을 지시할 수 있다. 도 3은, 상기 분석에 적어도 부분적으로 기반을 둔 본 발명의 일 실시예에서 사용될 수 있는 파라미터들의 세트의 일 예를 나타낸다. 그러나 본 발명은 이러한 파라미터들에 한정되지 않으며, 본 발명의 범위를 벗어나지 않고 다른 파라미터들이 이용될 수 있다.
파라미터들의 세트의 선택 후에, 경계(borders)를 가진 클래스(class)의 세트가 생성된다. 예를 들어, 두 개의 클래스, 즉 양호 행동 클래스 및 불량 행동 클 래스가 행동의 두 가지 패턴에 의해 나타내질 수 있다. 상기 첫 번째(양호 행동)는 콘텐츠 재생기 등과 관련될 수 있으며, 다른 것(불량 행동)은 스크린 스크래퍼, 오디오 캡처 프로그램들 등을 포함하는 다양한 해킹 툴 중 어느 하나와 같은 것으로부터의 허가되지 않은 행동과 관련될 수 있다.
콘텐츠 재생기를 나타내는 패턴은 몇몇 시간 주기를 통해 콘텐츠 재생기의 실행에 기반을 둔 수학적 기대값을 계산함으로써 얻어질 수 있고, 그리고 콘텐츠 재생기와 관련된 프로세스의 분석을 수행함으로써 얻어질 수 있다. 유사한 접근법이 해킹 툴과 관련된 패턴을 결정하기 위해서 사용될 수 있다.
이상적인 경계는 각 클래스에 대하여 발생될 수 있으며, 여기서 이상적인 불량 클래스는 단지 변경되지 않은 데이터를 포함할 수 있으며, 그리고 이상적인 양호 클래스는 단지 변경된 데이터를 포함할 수 있다. 일 실시예에서, 이러한 이상적 경계는 콘텐츠 재생기 및/또는 해킹 툴 등과 관련된 단일 패턴들의 행동 분석으로부터 얻어질 수 있다.
분석은, 결정 엔진에 제공되는 세트를 선택하기 위해서, 얻어진 원형(prototype) 패턴들에 관해 수행될 수 있다. 일 실시예에서, 얻어진 원형 패턴들은 두 개에서 네 개의 패턴들 사이에서와 같은 서브세트의 선택에 의해서 감소될 수 있다(본 발명은 이러한 감소된 세트에 한정되지 않음). 얻어진 원형 패턴들은 양호 패턴에 비교될 수 있고 그래서 더 나쁜 경우가 확립될 수 있다. 유사하게, 원형 패턴들은 불량 패턴에 비교될 수 있고 그래서 불량 패턴을 가장 가깝게 나타내는 패턴의 선택이 수행될 수 있다. 또 다른 실시예에서, 여기서 결정 엔진(255)은 밸런싱 원리(balancing principle) 상에서 동작하도록 구성될 수 있으며, 여기서 패턴의 한 세트 또는 클래스는 단지 양호 패턴 스코어를 포함하고, 반면에 패턴의 또 다른 세트 또는 클래스는 단지 불량 패턴 스코어를 포함한다.
두 개의 스케일(scale) 클래스 각각은 동등한 수의 양호 및 불량 스코어로 사전에 로딩 될 수 있다. 일 실시예에서, 초기에 제로(zero)화된 스케일이 확립된다. 선택된 클래스와 관련된 양호 스코어 및 불량 스코어는 각 클래스에서 발생할 수 있는 가능한 총 스코어를 나타낸다. 새로운 스코어가 얻어질 때, 본 발명은 스케일 클래스들 중 하나에 그것을 더할 수 있다. 하나가 클래스에 더해질 때, 또 다른 하나는 다른 클래스로부터 자동으로 빼진다. 이것이 실질적 잘못된 균형(misbalnce)을 생성하지 않고, 실질적으로 동일한 총 스코어 수를 유지하게 한다.
예를 들어, 불량 스코어에 기반을 둔 잘못된 균형이 나타난다면, 본 발명은 결정 엔진으로부터 값과 분류를 결정한다. 이 결정은 양호 스코어들에 대해서보다 오히려 불량 스코어의 잘못된 균형에 대해 수행되는데, 이것은 불량 상황이 본 발명이 식별하고자 하는 것이기 때문이며, 양호 스코어들에 대해 이것을 수행하지 않음으로써 프로세싱 시간은 최소화될 수 있다.
데이터 엔트로피는 예를 들어 비선형 분류 규칙 등을 사용하는 값의 결정에 부분적으로 기반하여 각 클래스에 대하여 결정될 수 있다. 일 실시예에서, 기본적인 두 로그 데이터(logarithmic data) 엔트로피가 결정 엔진으로부터 출력을 결정하기 위해서 사용된다. 그 다음으로 출력 결과가 소정의 신뢰 수준과 상당히 동등 하거나 또는 더 클 때, 결정 엔진은 최종 결정으로 응답하도록 구성된다.
프로세스 특성들을 결정하기 위한 준비에 있어서, 수집되는 데이터에 대한 이벤트와 샘플 사이즈의 수가 결정된다. 이벤트의 수는, 다른 프로세스 파라미터들의 요구된 최대 수와 그리고 소정의 운용 체계 구성으로부터 얻어질 수 있는 특성들을 포함한다. 예를 들어, 그러한 파라미터들은 프로세스 ID, 타켓 OS 버전, 우선권 클래스(Priority Class), 사용자 목적 카운트(User Object Count), 메모리 정보(Memory Info), IO 카운터들 등을 포함할 수 있으나, 이에 한정되지 않는다.
샘플 사이즈는 이용가능한 이벤트들의 수로부터 추출될 수 있는 프로세싱에 대하여 일반적으로 사용되는 데이터 샘플들의 사이즈를 포함한다. 다양한 통계적 접근법 중 어느 하나는 패턴 인식 태스크를 수행하는데 사용되는 샘플의 사이즈를 상당히 감소시키기 위해 사용될 수 있다.
허가되지 않은 행동을 탐지하기 위한 예시적인 동작
본 발명의 어떤 양상의 동작은 도 4-6에 관하여 지금 설명될 것이다. 특히, 도 4는 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하기 위한 개관적인 프로세스를 나타낸다. 본원에서 설명되는 바와 같이 프로세스는, 컴퓨팅 장치 상에서 실행될 수 있는 여러 가지 프로세스들에 대하여 미리 선택된 파라미터들에 관한 데이터의 수집을 위한 서브 프로세스와, 델타 이벤트 분석(delta events analysis)에 기반을 둔 지문들의 결정을 위한 서브 프로세스와, 그리고 엔트로피 분석을 사용하여 지문들을 분류하는 서브 프로세스를 포함하여, 몇몇 서브 프로세스를 포함한다. 도 5는 데이터 수집 서브 프로세스를 나타낸다. 도 6은 지문 결정 서브 프로세스를 나타내며, 그리고 도 7은 분류 프로세스를 나타낸다. 이 프로세스들 각각은 아래에서 더 상세하게 설명된다. 더욱이, 동작들은 논리적 흐름도의 설명을 따라 더 자세하게 설명될 것이다.
도 4는 도 1의 클라이언트(106-108)와 같은 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하기 위한 개관적인 프로세스의 일 실시예를 일반적으로 보여주는 논리적 흐름도를 나타낸다. 도 4의 프로세스(400)는 컴퓨팅 장치에서 동작할 수 있는 소프트웨어, 하드웨어, 하드웨어의 조합 등에서 구현될 수 있다.
프로세스(400)는 시작 블록 후의 블록(402)에서 시작되며, 이것은 도 5와 함께 아래에서 더 자세히 설명된다. 그러나, 간단히 말해서, 블록(402)에서, 컴퓨팅 장치 상에서 실행될 수 있는 여러 프로세스들에 대한 미리 선택된 파라미터들의 수집이 수행된다. 이러한 미리 선택된 파라미터들의 예는 도 3과 함께 위에서 설명되었다. 일 실시예에서, 수집 프로세스는 적어도 두 번의 시간 간격에 대하여 미리 선택된 파라미터들의 수집을 포함한다.
그 다음으로 프로세싱은 블록(404)으로 계속되고, 이것은 도 6과 함께 아래에서 더 자세하게 설명될 것이다. 그러나, 간단히 말해서, 블록(404)에서, 컴퓨팅 장치 상에서 실행될 수 있는 프로세스들의 적어도 서브 세트에 대하여 지문들이 결정된다. 상기 지문들은 아래에서 더 자세하게 설명되는 델타 이벤트 분석을 사용하여 결정될 수 있다.
그 다음으로 프로세스(400)는 블록(406)으로 계속되고, 이것은 도 7과 함께 아래에서 더 자세하게 설명된다. 간단히 말해서, 블록(406)에서, 결정된 지문들은 엔트로피 분석을 사용하여 불량 및/또는 양호 행동 패턴으로 분류될 수 있다. 그 다음으로 상기 엔트로피 분석은 컴퓨팅 장치 상에서 평가되는 프로세스의 엔트로피를 결정할 수 있다.
프로세싱은 다음으로 결정 블록(408)으로 진행하며, 여기서 허가되지 않은 행동이 탐지되는지 여부가 결정된다. 아래에서 더 설명되는 것과 같이, 이 결정은 상기 결정된 엔트로피를 소정의 신뢰 수준에 비교하는 것에 기반을 두어 수행될 수 있다. 만약 결정된 엔트로피가 소정의 신뢰 수준 위에 있다고 결정된다면, 그러면 허가되지 않은 행동이 존재한다고 할 수 있으며, 프로세싱은 블록(410)으로 진행한다; 그렇지 않으면, 프로세싱 루프는 블록(402)으로 되돌아가서 컴퓨팅 장치 상에서의 허가되지 않은 행동의 존재에 대해 계속 모니터링 한다.
블록(410)에서, 여러가지 소정의 동작들이 비지니스 정책 등에 기반하여 수행될 수 있다. 예를 들면, 이러한 소정의 동작들은 네트워크 연결을 끊는 것, 하나 또는 그 이상의 프로세스를 끊는 것, 콘텐츠에 접근을 소멸시키는 것 또는 그렇지 않으면 콘텐츠로의 접근을 금지하는 것, 컴퓨팅 장치로의 접근을 금지하는 것, 하나 또는 그 이상의 엔티티(entities) 등에 메시지, 경고 등을 제공하는 것을 포함할 수 있다. 실질적으로 어떤 동작은 허가되지 않은 행동의 탐지에 기반을 두어 수행될 수 있다.
그 다음으로 프로세싱은 호출(calling) 프로세스로 리턴(return)할 수 있다. 그러나, 본 발명은 그렇게 한정되지 않는다. 예를 들어, 비록 프로세스(400)가 호출 프로세스로 리턴 하는 것을 나타내지만, 프로세스(400)는 또한 블록(410) 후에 블록(402)으로 되돌아 갈 수도 있으며, 그리고 본 발명의 사상과 범위를 벗어남이 없이 허가되지 않은 행동에 대해 계속 모니터링 할 수 있다.
도 5는 컴퓨팅 장치와 관련된 프로세스들의 미리 선택된 파라미터들을 수집하기 위한 프로세스의 일 실시예를 일반적으로 보여주는 논리적 흐름도를 나타낸다. 도 5는 도 4와 함께 앞서 설명된 블록(402)에 대한 동작들의 서브 프로세스의 일 실시예를 나타낸다.
도 5의 프로세스(500)는 블록(502)에서 시작하며, 여기서 이상적인 클래스들이 확립된다. 일 실시예에서, 이상적인 양호 클래스 및 이상적인 불량 클래스가 결정된다. 예를 들어, 이상적인 양호 클래스는 모두 1을 가진 행렬에 의해 나타내 질 수 있으며, 반면에 이상적인 불량 클래스는 모두 -1을 가진 행렬에 의해 나타내 질 수 있다.
그 다음으로 프로세싱은 블록(504)으로 진행하며, 여기서 M 프로세스에 대한 파라미터의 제 1 데이터 세트는 제 1 시간 간격 T1을 통해 수집된다. 이러한 데이터 수집은 M 프로세스들 각각에 대한 파라미터들의 세트를 모니터링하는 것을 포함하며, 그리고 시간 간격 T1을 통해 그 각각의 값들을 기록하는 것을 포함한다. 이 데이터 세트는, 폴더(folder), 스프레드시트(spreadsheet), 메모리, 데이터베이스, 문서(document) 등을 포함하는, 다양한 메커니즘들 중 어느 하나를 사용하여 저장될 수 있다. 더욱이, 파라미터들의 세트는 컴퓨팅 장치 상에서 실행될 수 있는 M 프로세스와 관련된 다양한 파라미터들 중 어느 하나를 포함할 수 있다.
프로세스(500)는 블록(506)으로 계속되며, 여기서 K 프로세스에 대한 파라미 터의 제 2 데이터 세트는 제 2 시간 간격 T2를 통해 수집된다. 파라미터들의 제 1 및 제 2 데이터 세트는 컴퓨팅 장치 상에서 실행되는 실질적으로 관심 있는 모든 프로세스에 대하여 얻어질 수 있다. 그러나, 본 발명은 모든 프로세스에 대한 데이터 세트의 수집에 구속되지 않는다. 예를 들어, 프로세스들의 서브세트는, 본 발명의 사상 및 범위를 벗어남이 없이, 수집을 위해 선택될 수 있다. 일 실시예에서, 블록(506)의 데이터 수집은 지연(delay) 후에 수행될 수 있다.
더욱이, 제1 및 제2 데이터 세트들은 행렬로서 나타낼 수 있으며, 이것은 아래에서 더욱 자세하게 설명될 것이다. 그러나, 간단히 말해서, 상기 행렬들은 M 또는 K 프로세스 각각에 대한 시간을 통해 파라미터 값들의 세트를 포함할 수 있다.
그 다음에 프로세싱은 블록(506)으로부터 결정 블록(508)으로 진행하며, 여기서 T1 동안에 수집된 프로세스 M의 수가 T2 동안에 수집된 프로세스 K의 수와 같은지의 결정이 수행된다. 즉, M = K 인가? 예를 들어, 하나의 프로세서가 하나의 간격 동안 실행되고 그리고 데이터 수집의 다른 간격 동안 실행되지 않는 상황에서 M과 K는 같지 않을 수 있다. 예를 들어, 오자 검출(spell checker) 프로세스는 하나의 간격 동안에 실행될 수 있으며, 다른 간격에서는 그렇지 않다. 그래서 만약 M과 K가 다르다고 결정된다면, 그러면 프로세싱은 블록(510)으로 진행한다. 블록(510)에서, 두 개의 간격 동안 프로세스 L의 수와 관련된 파라미터들의 데이터의 선택이 선택된다. 일 실시예에서, 프로세스들의 수는 양쪽 모두의 간격 동안에 실행되는 이러한 프로세스들을 선택함으로써 결정된다. 예를 들어, 프로세스 L의 수는 M과 K 중에서 작은 값일 수 있다. 이것이 두 데이터 세트가 동일한 차원의 사이 즈가 되도록 한다. 그 다음으로 프로세싱은 다른 동작을 수행하기 위해서 호출 프로세스로 리턴 한다. 마찬가지로, 만약 결정 블록(508)에서 M = K 라면, 프로세싱은 또한 다른 동작을 수행하기 위해서 호출 프로세스로 리턴 한다.
도 6은, 프로세스 모두 또는 일부에 대한 지문을 결정하기 위해, 델타 이벤트 분석을 사용하는 프로세스의 일 실시예를 일반적으로 도시한 논리적 흐름도를 나타낸다. 도 6의 프로세스(600)를 뒷받침하는 수학은 아래에서 더 자세하게 설명된다. 더욱이, 프로세스(600)는 도 4의 블록(404)의 일 실시예를 나타낼 수 있다.
프로세스(600)는, 시작 블록 후에, 블록(602)에서 시작하며, 여기서 수집된 데이터 세트에 대한 프로세스의 서브세트가 결정된다. 다양한 메커니즘들 중 어느 하나가 프로세스들의 서브세트를 결정하기 위해서 이용될 수 있다. 그러나, 예시된 바와 같이, 서브 세트는 CPU 시간의 높은 퍼센트가 사용되는 프로세스들을 선택함으로써 결정된다. 일 실시예에서, 이것은 예를 들어 도 3의 파라미터(21 및 23)가 CPU 시간의 높은 퍼센트를 지시하는 그러한 프로세스들을 모니터함으로써 결정될 수 있다. 일 실시예에서, CPU 시간의 높은 퍼센트는 CPU 시간의 퍼센트 중 최대값이다. 그러나 본 발명은 그렇게 구속되지 않으며, 그리고 다른 파라미터 등이 사용될 수 있다. 어떤 경우에는, 프로세스의 서브세트가 일단 결정되면, 프로세싱은 블록(604)으로 진행한다.
블록(604)에서 델타 이벤트 분석은 프로세스의 서브 세트에 관해 수행된다. 간단히 말하면, 델타 이벤트 분석은 프로세스의 델타 데이터를 얻기 위해서 프로세스의 서브세트의 두 데이터 세트를 빼는 것을 포함할 수 있다. 앞서 언급한 바와 같이, 각 데이터 세트는 파라미터 행렬 등에 의해서 프로세스를 나타낼 수 있으며, 그리고 파라미터의 변화는 프로세스에 대한 행동의 패턴을 더 나타낼 수 있다.
그 다음으로, 프로세싱은 블록(606)으로 계속되며, 여기서 델타 이벤트 데이터 세트는, 아래에서 더 자세하게 설명되는 바와 같이 2진(binary) 분류를 사용함으로써, 상기 프로세스들에 대한 지문들로 변환된다. 간단히 말해서, 이러한 2진 분류는 수치적 결정을 비수치적 논리 결정으로 변환하는 것으로 보여 질 수 있다. 그 다음에, 프로세스(600)는 호출 프로세스로 리턴 한다.
도 7은 엔트로피 분석을 사용하여 결정된 지문들의 패턴 분류를 수행하는 프로세스의 일 실시예를 일반적으로 도시한 논리적 흐름도를 나타낸 것이다. 도 7의 프로세스(700)는, 예를 들어, 상기 도 4의 블록(406)의 일 실시예를 나타낼 수 있다.
프로세스(700)는, 시작 블록 후에, 블록(702)에서 시작하며, 여기서 이상적 양호 클래스에 대한 미스매치(mismatch)들을 최대화하는 프로세스가 결정된다. 이것은 아래에서 더 자세히 설명된다. 그러나, 간단히 말해서, 상기 이상적 양호 클래스가 예를 들어, 모두 1인 세트([1,1...1])를 고려하자. 그러면, 상기 이상적인 양호 클래스 세트 내의 각 요소들과 도 6의 프로세스(600)로부터 얻어진 각 프로세스 세트 내의 각 요소, 등등 사이에 비교가 이루어질 수 있다. 한 요소 한 요소 카운트가 수행될 수 있고, 비교 결과의 합계는 어느 프로세스가 미스매치를 최대화하는지를 지시할 수 있다(예를 들어, 상기 이상적 양호 클래스로부터 가장 멀리 있는 것). 일 실시예에서, 가장 나쁜 프로세스(즉, 상기 이상적 양호 클래스로부터 가장 큰 미스매치를 초래하는 프로세스들의 서브세트 내에서의 프로세스들의 또 다른 서브세트를 식별함).
그 다음으로, 프로세싱은 블록(704)으로 계속되며, 여기서 밸런싱 방식(balancing scheme)이 블록(702)에서 결정된 프로세스들의 서브 세트 상에서 사용된다. 밸런싱 방식은 행동(프로세스)의 각 패턴을 양호 클래스들 및 불량 클래스들로 분류하고, 아래의 밸런싱 규칙에 따라 두 클래스 각각 내에 이러한 패턴의 카운트를 결정한다.
그 다음에, 프로세싱은 결정 블록(706)으로 진행하며, 여기서 상기 불량 클래스 내에서 카운트된 패턴들의 수가 상기 양호 클래스 내에서 카운트된 패턴들의 수를 초과하는 지가 결정된다. 만약 그렇다면, 프로세싱은 블록(708)으로 진행하며; 그렇지 않으면 프로세싱은 호출 프로세스로 리턴 한다.
블록(708)에서 최종 스코어 엔트로피가 결정되며, 이것은 아래에서 더 자세히 설명된다. 그 다음으로 프로세싱은 호출 프로세스로 리턴 한다. 일 실시예에서, 그 다음으로 상기 호출 프로세스는 소정의 신뢰 수준 내에서 허가되지 않은 행동이 탐지되었는지 여부를 결정하기 위해서 통계적 테스트를 최종 스코어 엔트로피에 적용할 수 있다.
예시 흐름도의 각 블록 및 예시 흐름도 내의 블록들의 조합은 컴퓨터 프로그램 명령에 의해서 수행될 수 있음이 이해될 것이다. 이러한 프로그램 명령은 시스템을 생성하기 위해 프로세서에 제공될 수 있으며, 그 결과 프로세서 상에서 실행되는 명령들은 흐름도 블록 또는 블록들 내에서 특정된 동작들을 구현하는 수단들 을 생성한다. 상기 컴퓨터 프로그램 명령들은, 일련의 동작 단계들이 프로세서에 의해 수행되도록 하여 컴퓨터에서 구현되는 프로세스를 생성하도록, 프로세서에 의해서 실행될 수 있으며, 그 결과 프로세서 상에서 실행되는 명령들은 흐름도 블록 또는 블록들 내에서 특정된 동작들을 구현하는 단계를 제공한다.
따라서, 예시 흐름도의 블록들은 특정 동작들을 수행하는 수단의 조합, 특정 동작들을 수행하는 단계 및 특정 동작들을 수행하는 프로그램 명령 수단의 조합을 지원한다. 또한 각 예시 흐름도의 각 블록 및 예시 흐름도 내의 블록들의 조합은 특정 동작 또는 단계를 수행하는 특별한 목적의 하드웨어 기반의 시스템 또는 특별한 목적의 하드웨어 조합에 의해서 구현될 수 있으며, 그리고 컴퓨터 명령들은 특정 동작들을 수행하는데 사용될 수 있음이 이해될 것이다.
패턴 분류
다음은 본 발명에 대하여 더 상세한 것을 제공하며, 도 4-7과 함께 위에서 설명된 프로세스를 더 설명하기 위해서 사용될 수 있다.
예를 들면, 다음은 상기 도 5의 데이터 수집 동작 및 패턴 분류를 설명한다.
관심있는 컴퓨팅 시스템 상에서의 존재하는 프로세스 각각을 특징 지우는 단일 패턴의 세트로서 이벤트들의 수를 고려하자. 이 세트는 시간 주기 T1 동안에 상술한 바와 같이 컴퓨팅 시스템을 모니터링한 후에 얻어질 수 있다.
이벤트들의 수는 N 차원의 유클리드 측정 공간 RN에서의 벡터 Xi를 이용함으로써 패턴들의 패턴으로서 설명될 수 있으며, 여기서 파라미터 i=1,N은 벡터 Xi의 성분들로서 단일 패턴들의 수를 나타낸다.
Xi=(Xi ,1, Xi ,2,......, Xi ,N-1, Xi ,N)
만약 동시에 실행하는 M 프로세스가 있다면(즉, M 벡터들 Xi ,j, i=1,N 및 J=1,M), 그것들은 행렬 A에 의해서 나타내질 수 있다.
Figure 112007005445986-pct00001
또 다른 세트는, 상술한 바와 같이, 시간 주기 T2 동안에 컴퓨팅 시스템을 모니터링한 후에 얻어질 수 있다. 이벤트들의 새로운 수는 N 차원의 유클리드 측정 공간 RN에서의 벡터 Yi에 의해서 패턴들의 패턴으로 도입될 수 있으며, 여기서 파라미터 i=1,N은 벡터 Yi의 성분들로서 단일 패턴들의 수를 나타낸다.
Yi=(Yi ,1, Yi ,2,......, Yi ,N-1, Yi ,N)
만약 컴퓨팅 시스템 내에서 동시에 실행하는 K 프로세스가 있다면(K 벡터들 Yi,j, i=1,N 및 J=1,K), 그것들은 행렬 B에 의해서 나타내질 수 있다.
Figure 112007005445986-pct00002
세 가지 가능한 상황들이 파라미터 K에 대하여 고려된다: 첫 번째가 K=M인 경우; 두 번째가 K>M인 경우; 그리고 세 번째가 K<M인 경우. 이런 상황들의 모니터링은 본 발명이 행렬 A 및 B를 이용하여 계산(computations)을 적절하게 수행하도록 한다. 일 실시예에서, 비교는, 시간 주기 T1과 시간 주기 T2 양쪽 모두의 시간 주기 동안에 행렬 A와 B를 비교함으로써, 실행되는 모든 프로세스 상에서 실질적으로 수행된다. 상기 행렬들은 각 프로세스(ID)를 유일하게 식별하기 위해서 사용되는 이전에 결정된 프로세스 파라미터들을 사용하여 정돈된다.
만약 그것들이 같고, 그리고 추가적인 엔트리(entries)가 나타나지 않는다고 결정된다면, 그러면 M=N이라고 지시하고 그리고 행렬 A 및 B를 사용하는 계산이 수행될 수 있다. M>K인 상황(예를 들어 더 이른 실행 프로세스가 종결되는 경우) 또는 M<K인 상황(예를 들어 실행되지 않은 프로세스가 실행을 시작하는 경우)에서, 행렬 A 및 B에 양쪽에 공통되는 ID들의 서브세트는 결정될 수 있고 이후의 계산에서 사용될 수 있다.
델타 이벤트 분석을 사용하여 지문을 결정하기
다음은 도 6의 프로세서(600)에 대하여 더 상세히 설명한다. 상술한 바와 같이, 사이즈 N부터 사이즈 L까지의 어떤 프로세서를 나타내는 각 벡터에 대한 차원을 감소시키는 것은 가능하며, 여기서 N>L이다. 이벤트들의 수는, 예를 들어 L 차원의 유클리드 측정 공간 RL에서 벡터 Xi 또는 Yi에 의한 패턴들의 패턴으로서 도입될 수 있으며, 여기서 파라미터 i=1,L은 벡터 Xi 또는 Yi 의 성분으로서 단일 패턴 들의 수이다.
어떤 선택된 값 P%보다 더 큰 시간의 CPU%를 사용하는 그러한 파라미터들을 선택함으로써 고려된 벡터들의 수를 감소시킬 수 있으며, 여기서 P%는 다양한 조건에 기초를 두어 선택될 수 있다. 예를 들면, 일 실시예에서 P%는 재생기에 의해서 사용된 CPU에 기초를 두어 선택될 수 있다.
사용자 시간 Ut는, 프로세스가 다른 T2 및 T1 시간 간격에서 사용자 모드에서 실행될 때 소비하는 O/S에 의해 보고된 총 시간을 나타내는 두 값들 사이의 차이로서 정의될 수 있다. 또한 커널 시간 Kt는, 프로세스가 동일한 T2 및 T1 시간 간격에서 커널 내에서 실행될 때 소비하는 O/S에 의해 보고된 총 시간을 나타내는 두 값들 사이의 차이로서 정의될 수 있다. 그 다음으로, CPU%의 계산은 벡터 Vuk로부터 결정될 수 있다:
Vuk=(Kt1,i-1 + Ut1,i; Kt2,i-1 + Ut2,i;...; Ktj,i-1 + Utj,i;...; KtM,i-1 + UtM,i)T
여기서 인덱스 M은 실행 프로세스의 총 수를 나타낸다; j는 현재의 프로세스이다; 인덱스 i는 프로세스 j의 프로세스 이벤트 i-1 및 i를 나타낸다. 이벤트 i-1 및 i는 커널 및 사용자 시간과 각각 관련된 값들을 유지하기 위해서 사용된다. 여러 가지 인덱스들의 선택은 특별한 컴퓨터 운용 체계 등과 관련될 수 있다.
그 다음으로 각 j-실행 프로세스에 대한 CPU% 시간의 퍼센트는 합계(Ktj ,i-1 + Utj ,i)의 부분으로써 결정될 수 있으며, 여기서 j=1,M이다:
Figure 112007005445986-pct00003
모든 CPU%를 결정한 후에, 선택된 P% 값보다 더 큰 CPU% 시간을 사용하는 프로세스 NP의 수를 결정하며, 여기서 NP << M 이다.
실제 시스템에서, NP 값의 변화는, 비록 이것이 요구되지 않지만, 일반적으로 2와 4 사이이다.
상술한 것, 그리고 새로운 최대 행렬 사이즈에 기반하여, 본 발명은 계산을4 × 37 문제로 감소시킬 수 있다.
그 다음으로, 동일한 랭크(rank)를 가진 새로운 두 행렬들 A1 및 B1을 가정하자, 그리고 여기서 A1은 시간 간격 T1으로부터 얻어지며, 그리고 B1은 시간 간격 T2로부터 얻어진다.
Figure 112007005445986-pct00004
Figure 112007005445986-pct00005
새로운 행렬 C1은 다음과 같이 결정될 수 있다.
C1 = B1 - A1
또는
Figure 112007005445986-pct00006
여기서 Zj ,i = Yj ,i - Xj ,i ; i = 1,N1 ; j=1,4
그러나 본 발명은 i 및 N1에 대해 그러한 값에 구속되지 않는다. 예를 들어, 일 실시예에서, 벡터 사이즈의 15(N1=15)로의 추가 감소가, 관련된 정보의 상당한 손실 없이, 수행될 수 있다.
행렬 C1의 2진 분류 형태로의 변환이 결정될 수 있으며, 여기서 각 행렬 요소는 2진 값으로 결정된다. 일 실시예에서, 이것은 W에 의해서 행렬 C1의 각 요소 Zj,i를 대체함으로써 달성되며, 여기서 W는 임의의 논리 가중 계수(coefficient)이다.
Figure 112007005445986-pct00007
그 결과 행렬 C1이 1, -1과 같은 요소들을 포함하게 된다. 더욱이 결과 행렬 C1은 프로세스들에 대한 지문들을 나타낸다. 그러나, 본 발명은 이러한 값들로 한정되지 않으며, 실질적으로 어떤 다른 값, 값들의 세트 등이 본 발명의 사상과 범위를 벗어나지 않으면서 사용될 수 있다.
엔트로피 분석을 사용한 지문의 분류
다음은 도 7의 프로세스(700)에 대하여 더 상세히 설명한다. 결정 엔진에 제 공되는 스코어를 결정하기 위해서, 예를 들어 N1 차원의 공간 내에 4 벡터에 대한 확장된 형태의 표현이 아래 표현을 사용하여 결정될 수 있으며,
C1 * PVT = D
여기서 PVT는 성분 PV1, PV2,..., PVN1을 가진 패턴 벡터이고, 그리고 D는 성분 D1, D2, D3, 및 D4를 가진 출력 벡터이며, 그래서:
Figure 112007005445986-pct00008
2진 포맷 내의 스코어 값을 유지하기 위하여, 다음과 같은 규칙이 사용될 수 있다.
Figure 112007005445986-pct00009
다음으로, 상기 패턴은, 본래의(original) 정보 내에서 관련 특징을 식별하고, 그러한 특징을 추출하고, 그리고 그것들을 측정함으로써, 분류될 수 있다. 그 다음으로 이러한 측정들은 패턴을 분류할 수 있는 분류기로 보내진다.
도 8은 두 벡터 Xi 및 Yi을 하나의 스코어 출력 (ZiT W) * PV = Di로 변환하는 프로세스의 일 실시예를 일반적으로 보여주는 도식적 표현(800)을 나타낸다. 도면에 도시된 바와 같이, 벡터 Xi 및 Yi는 입력 데이터를 나타낸다. 유사하게, 벡터 Zi=(Zi1,Zi2,...,ZiN)는 델타 이벤트들을 나타낸다. 더욱이, 계수 W는 임 의의 가중치를 나타내며(앞서 보여진 바와 같음), 그리고 벡터 PV = (PV1, PV2, ..., PVN)는 이상적 패턴 벡터를 나타낸다. 예를 들면, 1이 이상적인 값이라 가정하면, 그러면 PV는 (1,1,...,1)일 수 있다. 그러나, 본 발명은 그렇게 한정되지 않으며, 그리고 PV는 또한 다른 값에 의해 나타내 질 수 있다. 단일한 값 Di는 두 벡터 Xi 및 Yi의 변환의 총 출력 결과를 나타낸다.
도 9는 본 발명에 따라, 몇몇 스코어 출력을 결정하기 위해 행렬을 변환하는 프로세스의 일 실시예를 일반적으로 보여주는 도식적 표현을 나타낸다. 특히 도면에 도시된 바와 같이, 개략도(900)는 변환(즉, (Z ∪ W) * PVT = D)에 기반하여, 행렬 A 및 B의 몇몇 다른 스코어 출력 D로의 변환을 나타낸다.
도시된 바와 같이, 행렬 A 및 B는 변환에 대한 입력이다. 행렬 Z는 델타 이벤트의 행렬을 나타내며, 그리고 W는 임의의 가중치 계수들의 행렬이다. 추가적으로, 벡터 PV = (PV1, PV2, ..., PVk)는 이상적 패턴 벡터를 나타낸다. 변환의 총 출력 결과는 벡터 D = (D1, D2,..., Dk)에 의해서 나타내진다.
더욱이, 상기 K N-차원의 벡터 Xi, Yi, 및 Zi는 각각 행렬 A, B, 및 Z를 나타내며, 여기서 i=1,K 이다.
클래스의 수가 알려진 경우와 그리고 트레이닝(training) 패턴에, 상기 클래스들 사이에서의 기하학적 분리가 있는 그러한 경우에, 결정 함수(Decision Functions, DF)의 세트는 알려지지 않은 패턴을 분류하기 위해서 사용될 수 있다.
예를 들면, 두 클래스 C1 및 C2가 Rn 차원의 공간에 존재하고, 하이퍼 라인(hyper line)이 D(X)=0인 경우를 고려하면, 이것은 관련된 패턴들을 분리시키고 발견된다. 그러면, DF D(X)는 각각의 새로운 패턴을 분류하기 위해 분류기로서 사용될 수 있다. 이것은 다음에 기초하여 적용될 수 있다:
D(X) > 0 → ∈ C1
D(X) < 0 → ∈ C2
하이퍼 라인 D(X)=0은 때때로 결정 경계(boundary)로서 알려진다. 또한, 선형 또는 비선형 분류기들이 존재할 수 있으며, 이것은 각각 선형 또는 비선형 DF와 관련된다. 태스크는 상당이 신뢰성 있는 결과를 얻기 위해서 사용할 어떤 종류의 DF를 식별하는 것이다.
결정 엔진은 다양한 메커니즘들을 이용하여 구현될 수 있다. 일 실시예에서, 결정 엔진은, 결합된 클래스 C1 및 C2의 역 엔트로피 RE의 결정에 기초를 둔 비선형 분류기와 함께 결정 함수를 사용한다. 즉:
RE = 1 - NE,
여기서 NE는 정상 엔트로피이다. 이러한 접근법은 퍼지 및 신경학상 메커니즘을 이용한다. 그러나 본 발명은 이러한 접근법에 한정되지 않으며, 다른 것들이 본 발명의 사상과 범위를 벗어나지 않으면서 사용될 수 있다.
밸런스 이론이 엔트로피 결정을 위해 분류기 및 자연 로그 함수 log2에 대해 사용될 수 있다. 만약, 양호 및 불량 값들이 대략 동일한 밸런스 내에 존재하면, 그러면 이러한 상황에 대한 엔트로피는 대략 0과 동일하며, 그리고 하이퍼 포인트 D(X) = 0은 두 클래스 C1 및 C2를 분리하는 결정 경계로서 이용될 수 있다.
일 실시예에서, 클래스 C1에서 초기에 수집된 양호 데이터 값들의 수는 클래스 C2에서 수집된 불량 데이터 값들의 수와 대략 동일하다. 추가적으로, 양호 데이터 값들 및 불량 데이터 값들의 수의 총 합은 일정하게 유지되며, VS 값과 동일하다.
데이터 스코어가 블록(704)으로부터 수신됨에 따라, 그것이 불량 또는 양호 데이터인지에 기반하여, 적당한 클래스 C2 또는 C1과 관련된다. 첫 번째 상황에서, 데이터 수신은 상기 클래스 내의 데이터의 총 양의 하나 만큼 증가시킨다. 실질적으로 일정한 값에 총 VS 값을 유지하기 위해서, 데이터의 수는 다른 클래스에 대하여 감소된다. 그 다음에, 클래스 C1 및 C2에 대한 수들 사이의 비교가 수행된다. 클래스 C2 내의 불량 데이터의 수 BN이 클래스 C1 내의 양호 데이터의 수 GN보다 실질적으로 더 클 때(즉 D(X)>0), 최종 스코어 FS는 다음에 기초한 결정 엔진으로부터 결정된다.
FS = 1 + (BN/VS)*log2(BN/VS) + (GN/VS) * log2(GN/VS)
더욱이, 최종 스코어 FS는 평가된 프로세스들의 패턴에 대한 엔트로피를 나타낸다.
신뢰 수준은 약 0에서 약 1까지를 포함하는 스케일에서 값 CL로 할당될 수 있다. 그 다음에 테스트된 패턴에 대한 최종 결정이 아래와 같을 때 수행된다.
FS ≥ CL
유사하게, 최종 결정은 아래와 같은 퍼센트 측정에 기반을 둘 수 있다:
FS% = FS*100%
따라서, 만약 계산된 최대 에러가 할당된 에러 범위(신뢰 수준) 내에 있다고 결정된다면, 상기 결과들은 허가되지 않은 행동이 탐지되었는지를 결정하기에 충분히 신뢰성이 있다고 결정된다. 그 다음으로, 상기 탐지에 기초를 두어, 여러 행동들 중 어느 하나가 상기 콘텐츠로의 접근을 최소화하기 위해 취해질 수 있으며, 여기에는 콘텐츠를 삭제하는 것, 컴퓨터 락킹(locking), 의심스러운 프로그램 실행의 금지, 에러 메시지의 전송 등을 포함하나 이에 한정되지 않는다.
앞선 발명의 상세한 설명, 예 및 데이터는 본 발명의 구성의 제조 및 사용에 대한 완벽한 설명을 제공한다. 본 발명의 많은 실시예들이 본 발명의 사상과 범위를 벗어남이 없이 만들어질 수 있으므로, 본 발명은 아래에 첨부되는 특허청구범위에 존재한다.

Claims (24)

  1. 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하는 방법에 있어서,
    상기 컴퓨팅 장치 상에서 실행되는 복수의 프로세스들에서의 각 프로세스와 관련된 복수의 파라미터들을 선택하는 단계와;
    상기 복수의 프로세스들에서의 각 프로세스와 관련된 상기 복수의 파라미터들에 대한 데이터를 수집하는 단계와;
    상기 수집된 데이터에 기초하여, 상기 복수의 프로세스들의 적어도 서브세트에 대한 지문들을 결정하기 위해 델타 이벤트들을 사용하는 단계와;
    상기 델타 이벤트들로부터, 상기 복수의 프로세스들의 상기 서브세트에 대한 엔트로피를 동적으로 결정하는 단계와; 그리고
    만약 상기 결정된 엔트로피가 컴퓨팅 장치 상에서 허가되지 않은 행동을 지시(indication)한다면, 소정의 동작을 수행하는 단계를 포함하는 것을 특징으로 하는 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하는 방법.
  2. 제 1 항에 있어서,
    상기 복수의 파라미터들을 선택하는 단계는 운용 체계 특성, 메모리 특성, 또는 입력/출력(I/O) 장치 특성 중 적어도 하나를 포함하는, 상기 컴퓨팅 장치의 특성에 기초하여 상기 복수의 파라미터들을 선택하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하는 방법.
  3. 제 1 항에 있어서,
    상기 복수의 파라미터들은, 상기 컴퓨팅 장치 상에서 실행하도록 구성된 적어도 하나의 프로세스와 관련된, 메모리 행렬들, 커널 행렬들, 자원 사용 행렬들, 시간 행렬들, 입력/출력 행렬들 및 사이즈 행렬들 중 적어도 하나를 포함하는 것을 특징으로 하는 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하는 방법.
  4. 제 1 항에 있어서,
    상기 컴퓨팅 장치의 중앙 처리 장치(Central Processor Unit, CPU)의 자원을 소비하는 상기 복수의 프로세스들에서의 프로세스들을 선택함으로써 상기 복수의 프로세스들의 상기 서브세트를 결정하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하는 방법.
  5. 제 4 항에 있어서,
    상기 CPU의 자원은 CPU 시간의 퍼센트를 더 포함하는 것을 특징으로 하는 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하는 방법.
  6. 제 1 항에 있어서, 상기 복수의 파라미터들에 대한 데이터를 수집하는 단계는:
    제 1 시간 간격 동안에 상기 복수의 파라미터들을 기록함으로써 제 1 데이터 세트를 발생시키는 단계와; 그리고
    제 2 시간 간격 동안에 상기 복수의 파라미터들을 기록함으로써 제 2 데이터 세트를 발생시키는 단계를 더 포함하는 것을 특징으로 하는 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하는 방법.
  7. 제 6 항에 있어서, 지문들을 결정하기 위해서 델타 이벤트들을 사용하는 단계는:
    차이들의 데이터 세트를 발생시키기 위해서 상기 제 2 데이터 세트로부터 상기 제 1 데이터 세트를 빼는 단계와, 여기서 상기 빼는 것은 상기 제 1 및 제 2 데이터 세트들에서의 동일한 프로세스 및 동일한 파라미터들에 기초를 두며; 그리고
    상기 차이들의 데이터 세트를 논리 가중 계수를 사용하여 이진 데이터 세트로 변환하는 단계를 더 포함하여 구성되며, 여기서 상기 이진 데이터 세트는 상기 복수의 프로세스들의 상기 서브세트에서의 상기 프로세스들 각각에 대한 지문들을 나타내는 것을 특징으로 하는 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하는 방법.
  8. 제 7 항에 있어서, 빼는 단계는:
    만약 상기 제 1 데이터 세트 및 상기 제 2 데이터 세트가 프로세스들의 수에서 차이가 있다면, 빼는 것을 수행하기 전에 상기 제 1 데이터 세트와 상기 제 2 데이터 세트 사이의 프로세스들의 공통 세트를 선택하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하는 방법.
  9. 제 1 항에 있어서,
    엔트로피를 동적으로 결정하는 단계는 분석, 퍼지, 신격학상의 메커니즘 중 적어도 하나에 기반하여 상기 엔트로피를 결정하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하는 방법.
  10. 제 1 항에 있어서, 엔트로피를 동적으로 결정하는 단계는:
    파라미터들의 소정의 이상적 양호 클래스와의 미스매치를 최대화하는 프로세스들의 상기 서브세트 내에서 프로세스들의 또 다른 서브세트를 결정하는 단계와;
    프로세스들의 제 1 클래스에서의 양호 파라미터들의 수를 결정하는 단계와, 여기서 프로세스들의 상기 제 1 클래스는 하이퍼라인 위에 있는 것으로 결정되는 프로세스들의 상기 다른 서브세트 내에서의 프로세스들을 포함하며;
    프로세스들의 제 2 클래스에서의 불량 파라미터들의 수를 결정하는 단계와, 여기서 프로세스들의 상기 제 2 클래스는 상기 하이퍼라인 아래에 있는 것으로 결정되는 프로세스들의 상기 다른 서브세트 내에서의 프로세스들을 포함하며; 그리고
    만약 상기 불량 파라미터들의 수가 상기 양호 파라미터들의 수보다 실질적으로 더 크다면, 상기 불량 파라미터들의 수, 양호 파라미터들의 수 및 양호 또는 불량 파라미터들의 총 수의 로그 함수에 기초하여 상기 엔트로피를 결정하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하는 방법.
  11. 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하는 방법에 있어서,
    상기 컴퓨팅 장치 상에서 실행되는 복수의 프로세스들에서의 각 프로세스와 관련된 복수의 파라미터들을 선택하는 단계와;
    상기 복수의 프로세스들에서의 각 프로세스와 관련된 상기 복수의 파라미터들에 대한 데이터를 수집하는 단계와;
    상기 수집된 데이터로부터 상기 복수의 프로세스들의 적어도 서브세트에 대한 지문들을 결정하는 단계와;
    상기 결정된 지문들에 기초하여 상기 복수의 프로세스들의 상기 서브세트에 대한 엔트로피를 동적으로 결정하는 단계와; 그리고
    만약 상기 결정된 엔트로피가 컴퓨팅 장치 상에서 허가되지 않은 행동을 지시한다면, 소정의 동작을 수행하는 단계를 포함하는 것을 특징으로 하는 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하는 방법.
  12. 제 11 항에 있어서, 지문들을 결정하는 단계는:
    상기 복수의 프로세스들의 상기 서브세트에서의 각 프로세스와 관련된 상기 복수의 파라미터들에 대한 상기 수집된 데이터의 델타 이벤트 분석을 사용하는 단계를 더 포함하며, 여기서 상기 델타 이벤트 분석은 상기 데이터의 다수의 수집 간격들 사이에서 각 프로세스 공통에 대한 상기 복수의 파라미터들에서의 각 파라미터 사이에서 차이들의 델타를 결정하는 것을 더 포함하는 것을 특징으로 하는 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하는 방법.
  13. 제 11 항에 있어서, 엔트로피를 동적으로 결정하는 단계는:
    상기 복수의 프로세스들의 상기 서브세트에서의 각 프로세스에 의해서 사용된 CPU 시간의 퍼센트에 기반하여 프로세스들의 상기 서브세트 내로부터 프로세스들의 또 다른 서브세트를 선택하는 단계와;
    파라미터들의 소정의 이상적 양호 클래스와의 미스매치를 최대화하는 프로세스들의 상기 다른 서브 세트에서의 프로세스들을 결정하는 단계와;
    프로세스들의 제 1 클래스에서의 양호 파라미터들의 수를 결정하는 단계와, 여기서 프로세스들의 상기 제 1 클래스는 하이퍼라인 위에 있는 것으로 결정되는 프로세스들의 상기 다른 서브세트 내에서의 프로세스들을 포함하며;
    프로세스들의 제 2 클래스에서의 불량 파라미터들의 수를 결정하는 단계와, 여기서 프로세스들의 상기 제 2 클래스는 상기 하이퍼라인 아래에 있는 것으로 결정되는 프로세스들의 상기 다른 서브세트 내에서의 프로세스들을 포함하며; 그리고
    만약 상기 불량 파라미터들의 수가 상기 양호 파라미터들의 수보다 실질적으로 더 크다면, 상기 불량 파라미터들의 수, 양호 파라미터들의 수 및 양호 또는 불량 파라미터들의 총 수의 로그 함수에 기초하여 상기 엔트로피를 결정하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨팅 장치 상에서 허가되지 않은 행동을 탐지하는 방법.
  14. 컴퓨팅 장치 내에서 허가되지 않은 행동을 탐지하는데 사용하기 위해 컴퓨터에서 실행가능한 컴포넌트들을 가지는 컴퓨터에서 판독가능한 매체에 있어서, 상기 컴포넌트들은:
    정보를 수신하고 보내는 송수신기와;
    상기 송수신기와 통신하는 프로세서와; 그리고
    상기 프로세서와 통신하고 그리고 상기 프로세서가 동작들을 수행하도록 하는 기계 명령들과 데이터를 저장하는데 사용하기 위한 메모리를 포함하여 구성되며, 상기 동작들은:
    상기 컴퓨팅 장치 상에서 실행되는 적어도 하나의 프로세스와 관련된 적어도 하나의 파라미터를 선택하는 단계와;
    상기 적어도 하나의 프로세스에 대한 상기 적어도 하나의 파라미터에 대한 데이터를 수집하는 단계와;
    상기 데이터의 수집에서 델타 이벤트들에 부분적으로 기반을 두어 적어도 하나의 프로세스에 대한 지문을 결정하는 단계와;
    상기 결정된 지문에 기초하여 상기 적어도 하나의 프로세스에 대한 엔트로피를 동적으로 결정하는 단계와; 그리고
    만약 상기 결정된 엔트로피가 컴퓨팅 장치 상에서 허가되지 않은 행동을 지시한다면, 소정의 동작을 수행하는 단계를 포함하는 것을 특징으로 하는 컴퓨터에서 판독가능한 매체.
  15. 제 14 항에 있어서,
    상기 적어도 하나의 파라미터를 선택하는 단계는 상기 컴퓨팅 장치의 특성에 기반하여 상기 적어도 하나의 파라미터를 선택하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터에서 판독가능한 매체.
  16. 제 14 항에 있어서,
    상기 컴퓨팅 장치의 소정의 자원을 소비하는 프로세스들을 선택함으로써 상기 적어도 하나의 프로세스를 결정하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터에서 판독가능한 매체.
  17. 제 14 항에 있어서, 상기 적어도 하나의 프로세스의 상기 적어도 하나의 파라미터에 대한 데이터를 수집하는 단계는:
    제 1 시간 간격 동안에 상기 적어도 하나의 파라미터를 기록함으로써 제 1 데이터 세트를 발생시키는 단계와; 그리고
    제 2 시간 간격 동안에 상기 적어도 하나의 파라미터를 기록함으로써 제 2 데이터 세트를 발생시키는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터에서 판독가능한 매체.
  18. 제 17 항에 있어서, 델타 이벤트들에 적어도 부분적으로 기반을 두어 지문을 결정하는 단계는:
    상기 제 1 데이터 세트와 상기 제 2 데이터 세트 사이의 차이들의 데이터 세트를 결정하는 단계와, 여기서 상기 결정은 상기 제 1 및 제 2 데이터 세트들에서의 동일한 프로세스 및 동일한 파라미터에 기반을 두며; 그리고
    상기 차이들의 데이터 세트를 논리 가중 계수를 사용하여 이진 데이터 세트로 변환하는 단계를 더 포함하여 구성되며, 여기서 상기 이진 데이터 세트는 상기 적어도 하나의 프로세스에 대한 지문을 나타내는 것을 특징으로 하는 컴퓨터에서 판독가능한 매체.
  19. 제 14 항에 있어서, 엔트로피를 동적으로 결정하는 단계는:
    파라미터들의 소정의 이상적 양호 클래스와의 미스매치를 최대화하는 상기 적어도 하나의 프로세스 내에서 프로세스를 결정하는 단계와;
    프로세스들의 제 1 클래스 내에서 양호 파라미터들의 수를 결정하는 단계와, 여기서 프로세스들의 상기 제 1 클래스는 데이터의 상기 수집에 적어도 부분적으로 기초하여 하이퍼라인 위에 있는 것으로 결정되는 프로세스들을 포함하며;
    프로세스들의 제 2 클래스 내에서 불량 파라미터들의 수를 결정하는 단계와, 여기서 프로세스들의 상기 제 2 클래스는 데이터의 상기 수집에 적어도 부분적으로 기초하여 하이퍼라인 아래에 있는 것으로 결정되는 프로세스들을 포함하며; 그리고
    만약 상기 불량 파라미터들의 수가 상기 양호 파라미터들의 수보다 더 크면, 상기 불량 파라미터들의 수, 양호 파라미터들의 수 및 양호 및 불량 파라미터들의 총 수의 로그 함수에 기초를 두어 상기 엔트로피를 결정하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터에서 판독가능한 매체.
  20. 컴퓨팅 장치 내에 허가되지 않은 행동을 탐지하는데 사용하기 위한 컴퓨터에서 판독가능한 매체로, 상기 컴퓨터에서 판독가능한 매체는 상기 컴퓨팅 장치가 동작들을 수행하도록 하는 명령들로 코드화되며, 상기 동작들은:
    복수의 프로세스들 내에 각 프로세스에 대한 적어도 하나의 파라미터에 대해 제 1 기간에 걸쳐 제 1 데이터 세트를 수집하는 동작과, 여기서 상기 복수의 프로세스들에서의 적어도 하나의 프로세스는 상기 제 1 데이터 세트의 상기 수집 동안에 상기 컴퓨팅 장치 상에서 실행되며;
    또 다른 복수의 프로세스들에서의 각 프로세스에 대한 상기 적어도 상기 하나의 파라미터에 대해 제 2 기간에 걸쳐 제 2 데이터 세트를 수집하는 동작과, 여기서 상기 다른 복수의 프로세스들에서의 적어도 하나의 프로세스는 제 2 데이터 세트의 상기 수집 동안에 상기 컴퓨팅 장치 상에서 실행되며;
    상기 복수의 프로세스들 및 다른 복수의 프로세스들로부터 프로세스들의 세트를 선택하는 동작과;
    프로세스들의 상기 선택된 세트에 관해 적어도 부분적으로 델타 이벤트 분석을 사용하여 프로세스들의 상기 선택된 세트에 대한 지문들을 결정하는 동작과;
    상기 결정된 지문들에 기초하여 프로세스들의 상기 선택된 세트에 대한 엔트로피를 동적으로 결정하는 동작과; 그리고
    만약 상기 결정된 엔트로피가 상기 컴퓨팅 장치 상에 허가되지 않은 행동을 지시하면, 소정의 동작을 수행하는 동작을 포함하는 것을 특징으로 하는 컴퓨터에서 판독가능한 매체.
  21. 제 20 항에 있어서,
    만약 상기 결정된 엔트로피가 허가되지 않은 행동을 지시한다면, 상기 결정된 엔트로피를 신뢰 수준에 비교하는 동작을 더 포함하는 것을 특징으로 하는 컴퓨터에서 판독가능한 매체.
  22. 제 20 항에서, 엔트로피를 동적으로 결정하는 동작은:
    프로세스들의 제 1 클래스 내에 양호 파라미터들의 수를 결정하는 동작과, 여기서 프로세스들의 상기 제 1 클래스는 하이퍼라인 위에 있는 것으로 결정되는 프로세스들의 상기 선택된 세트 내에 프로세스들을 포함하며;
    프로세스들의 제 2 클래스 내에 불량 파라미터들의 수를 결정하는 동작과, 여기서 프로세스들의 상기 제 2 클래스는 상기 하이퍼라인 아래에 있는 것으로 결정되는 프로세스들의 상기 선택된 세트 내에 프로세스들을 포함하며; 그리고
    만약 상기 불량 파라미터들의 수가 상기 양호 파라미터들의 수보다 실질적으로 더 크다면, 상기 불량 파라미터들의 수, 양호 파라미터들의 수 및 양호 또는 불량 파라미터들의 총 수의 로그 함수에 기초하여 상기 엔트로피를 결정하는 동작을 더 포함하는 것을 특징으로 하는 컴퓨터에서 판독가능한 매체.
  23. 제 20 항에 있어서, 델타 이벤트 분석을 사용하여 프로세스들의 상기 선택된 세트에 대한 지문들을 결정하는 동작은:
    상기 적어도 하나의 파라미터들에 관하여 상기 제 1 데이터 세트와 상기 제 2 데이터 사이의 델타 차이들의 세트를 결정하는 동작과;
    상기 델타 차이들의 세트를 논리 가중 계수를 사용하여 이진 데이터 세트로 변환하는 동작을 더 포함하며, 상기 이진 데이터 세트는 프로세스들의 선택된 세트에 대한 지문들을 나타내는 것을 특징으로 하는 컴퓨터에서 판독가능한 매체.
  24. 컴퓨팅 장치에서 허가되지 않은 행동을 탐지하는 장치에 있어서,
    상기 컴퓨팅 장치 상에서 실행되는 서로 다른 프로세스들의 세트와 관련된 파라미터에 대한 데이터를 수집하는 수단과;
    상기 수집된 데이터에 기초하여 그리고 델타 이벤트들 수단을 사용하여 지문을 결정하는 수단과;
    상기 결정된 지문에 기초하여 상기 프로세스들의 적어도 서브세트에 대한 엔트로피를 동적으로 결정하는 수단과; 그리고
    만약 상기 결정된 엔트로피가 상기 컴퓨팅 장치 상에서 허가되지 않은 행동을 지시한다면, 동작을 수행하는 수단을 포함하는 것을 특징으로 하는 컴퓨팅 장치에서 허가되지 않은 행동을 탐지하는 장치.
KR1020077001321A 2004-06-24 2005-06-17 지문법 및 실시간 증거 수집을 사용하여 콘텐츠를 보호하기위한 장치, 시스템 및 방법 KR100859215B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US58273504P 2004-06-24 2004-06-24
US60/582,735 2004-06-24
PCT/IB2005/001718 WO2006000870A2 (en) 2004-06-24 2005-06-17 Apparatus, system, and method for protecting content using fingerprinting and real-time evidence gathering

Publications (2)

Publication Number Publication Date
KR20070033433A KR20070033433A (ko) 2007-03-26
KR100859215B1 true KR100859215B1 (ko) 2008-09-18

Family

ID=35782162

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077001321A KR100859215B1 (ko) 2004-06-24 2005-06-17 지문법 및 실시간 증거 수집을 사용하여 콘텐츠를 보호하기위한 장치, 시스템 및 방법

Country Status (8)

Country Link
US (1) US20060021037A1 (ko)
EP (1) EP1782199A2 (ko)
JP (1) JP2008503820A (ko)
KR (1) KR100859215B1 (ko)
CN (1) CN1973268A (ko)
CA (1) CA2566281A1 (ko)
TW (1) TWI295536B (ko)
WO (1) WO2006000870A2 (ko)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7792978B2 (en) * 2001-12-28 2010-09-07 At&T Intellectual Property I, L.P. System and method to remotely manage and audit set top box resources
DE102006011294A1 (de) * 2006-03-10 2007-09-13 Siemens Ag Verfahren und Kommunikationssystem zum rechnergestützten Auffinden und Identifizieren von urheberrechtlich geschützten Inhalten
WO2007129836A1 (en) * 2006-05-04 2007-11-15 Yuil Banking Security Print type binder for paper money, system including the binder, and motion method thereof
US20090080654A1 (en) * 2007-09-26 2009-03-26 Pri-Or Ester Method to track the downloading and playing of audible presentations
US9843596B1 (en) * 2007-11-02 2017-12-12 ThetaRay Ltd. Anomaly detection in dynamically evolving data and systems
US8868464B2 (en) 2008-02-07 2014-10-21 Google Inc. Preventing unauthorized modification or skipping of viewing of advertisements within content
US8326987B2 (en) * 2008-11-12 2012-12-04 Lin Yeejang James Method for adaptively building a baseline behavior model
CN102609664B (zh) * 2012-01-19 2016-05-04 杭州万用密宝科技有限公司 基于可执行体的进程指纹智能识别与模糊采集系统及其方法
US9680916B2 (en) * 2013-08-01 2017-06-13 Flowtraq, Inc. Methods and systems for distribution and retrieval of network traffic records
US11063936B2 (en) * 2018-08-07 2021-07-13 Microsoft Technology Licensing, Llc Encryption parameter selection

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5613002A (en) * 1994-11-21 1997-03-18 International Business Machines Corporation Generic disinfection of programs infected with a computer virus
JP2002024168A (ja) * 2000-07-12 2002-01-25 Matsushita Electric Ind Co Ltd シリアルデータ転送装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5870474A (en) * 1995-12-04 1999-02-09 Scientific-Atlanta, Inc. Method and apparatus for providing conditional access in connection-oriented, interactive networks with a multiplicity of service providers
CA1186028A (en) * 1982-06-23 1985-04-23 Microdesign Limited Method and apparatus for scrambling and unscrambling data streams using encryption and decryption
US5991399A (en) * 1997-12-18 1999-11-23 Intel Corporation Method for securely distributing a conditional use private key to a trusted entity on a remote system
US6327652B1 (en) * 1998-10-26 2001-12-04 Microsoft Corporation Loading and identifying a digital rights management operating system
US6415031B1 (en) * 1999-03-12 2002-07-02 Diva Systems Corporation Selective and renewable encryption for secure distribution of video on-demand
EP1225513A1 (en) * 2001-01-19 2002-07-24 Eyal Dotan Method for protecting computer programs and data from hostile code
US7549164B2 (en) * 2003-06-11 2009-06-16 Symantec Corporation Intrustion protection system utilizing layers and triggers

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5613002A (en) * 1994-11-21 1997-03-18 International Business Machines Corporation Generic disinfection of programs infected with a computer virus
JP2002024168A (ja) * 2000-07-12 2002-01-25 Matsushita Electric Ind Co Ltd シリアルデータ転送装置

Also Published As

Publication number Publication date
TWI295536B (en) 2008-04-01
WO2006000870A2 (en) 2006-01-05
JP2008503820A (ja) 2008-02-07
KR20070033433A (ko) 2007-03-26
US20060021037A1 (en) 2006-01-26
WO2006000870A3 (en) 2007-01-25
EP1782199A2 (en) 2007-05-09
CA2566281A1 (en) 2006-01-05
TW200607295A (en) 2006-02-16
CN1973268A (zh) 2007-05-30

Similar Documents

Publication Publication Date Title
KR100859215B1 (ko) 지문법 및 실시간 증거 수집을 사용하여 콘텐츠를 보호하기위한 장치, 시스템 및 방법
US11657174B2 (en) Dynamic multi-factor authentication
US11379607B2 (en) Automatically generating security policies
US11044264B2 (en) Graph-based detection of lateral movement
KR102403622B1 (ko) 행동 위협 탐지를 위한 시스템 및 방법
US20220050897A1 (en) Microservice adaptive security hardening
JP6726706B2 (ja) コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法
CN107409134B (zh) 法证分析方法
EP3504659B1 (en) Computing device protection based on device attributes and device risk factor
US20200195693A1 (en) Security System Configured to Assign a Group Security Policy to a User Based on Security Risk Posed by the User
CN113168469B (zh) 用于行为威胁检测的系统及方法
Prasath et al. A meta‐heuristic Bayesian network classification for intrusion detection
Manikandakumar et al. Security and Privacy Challenges in Big Data Environment
US20220269817A1 (en) Methods and apparatus to orchestrate personal protection across digital assets
Samaneh et al. Effective and Efficient Hybrid Android Malware Classification Using Pseudo-Label Stacked Auto-Encoder
CN111177737A (zh) 一种基于数据内容的数据加密方法以及相关装置
CN113874860A (zh) 用于检测恶意软件的装置和方法
CN113168468B (zh) 用于行为威胁检测的系统及方法
EP3246840B1 (en) System and method of detecting unwanted software
WO2022177760A1 (en) Methods and apparatus to orchestrate personal protection across digital assets
Alqahtani Cloud intrusion detection systems: fuzzy logic and classifications
Costeira Detecção Inteligente De Fugas De informação Por Analise Comportamental

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120824

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20130827

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140822

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150824

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160829

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170830

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20190829

Year of fee payment: 12